Canonical为运行Linux内核5.19或Linux内核5.15 LTS的Ubuntu 22.10、Ubuntu 22.04 LTS和Ubuntu 20.04 LTS系统发布新的Linux内核安全更新,以解决多达17个安全漏洞。
在之前的Ubuntu内核安全更新的三周后,新的更新是针对运行Linux内核5.19的Ubuntu 22.10(Kinetic Kudu)和Ubuntu 22.04 LTS(Jammy Jellyfish)系统,以及运行Linux内核5.15 LTS的Ubuntu 22.04 LTS(Jammy Jellyfish)和Ubuntu 20.04 LTS(Focal Fossa)系统。
在这些新内核更新修补的17个安全漏洞中,有14个影响到上述所有的Ubuntu系统。最关键的一个是CVE-2022-4379,这是一个在NFSD实现中发现的 “使用后自由 “漏洞,可能允许远程攻击者造成拒绝服务(系统崩溃)或执行任意代码。
同时修补的还有CVE-2023-0461,一个在上层协议(ULP)子系统中发现的免费使用漏洞;CVE-2023-0179,一个由Davide Ornaghi在netfilter子系统中发现的缺陷;CVE-2022-3545,一个在Netronome以太网驱动程序中发现的免费使用漏洞;CVE-2022-4139,一个在英特尔i915图形驱动程序中发现的缺陷。这些漏洞可能允许本地攻击者造成拒绝服务(系统崩溃)或执行任意代码。
CVE-2022-47518、CVE-2022-47519、CVE-2022-47520和CVE-2022-47521也是如此,这是在Atmel WILC1000驱动中发现的四个安全漏洞,可能导致越界写入、越界读取或基于堆的缓冲区溢出漏洞,允许攻击者造成拒绝服务(系统崩溃)或可能执行任意码。
此外,新的Ubuntu内核安全更新修补了CVE-2022-3169(在NVMe驱动程序中发现的安全问题)和CVE-2022-3521(在内核连接复用器(KCM)插座实现中发现的竞赛条件)。这两个缺陷可能允许本地攻击者造成拒绝服务(系统崩溃)。
运行Linux内核的Ubuntu 22.10(Kinetic Kudu)和Ubuntu 22.04 LTS(Jammy Jellyfish)系统5.19也受到两个KVM缺陷的影响,包括CVE-2022-45869,x86 KVM子系统实现中的一个竞赛条件,可能允许客体虚拟机中的攻击者通过造成拒绝服务来崩溃主机操作系统,以及CVE-2022-3344,Maxim Levitsky在AMD处理器的KVM嵌套虚拟化(SVM)实现中发现的一个缺陷,可能允许客体虚拟机中的攻击者造成拒绝服务(主机内核崩溃)。
最后但并非最不重要的是,新的Ubuntu内核更新修复了CVE-2022-3435,这是一个由Gwangun Jung在IPv4实现中发现的竞赛条件,可能允许攻击者造成拒绝服务(系统崩溃)或暴露敏感信息(内核内存)。
仅适用于运行Linux内核5的Ubuntu 22.04 LTS(Jammy Jellyfish)和Ubuntu 20.04 LTS(Focal Fossa)系统。15 LTS,新的内核安全更新还修补了CVE-2022-42328和CVE-2022-42329,这是Xen网络后端驱动程序中发现的两个竞赛条件,可能允许攻击者造成拒绝服务(内核死锁),以及CVE-2023-0468,这是Lin Ma在io_uring子系统中发现的一个竞赛条件,可能导致空指针解除引用漏洞,允许本地攻击者造成拒绝服务(系统崩溃)。
Canonical敦促所有Ubuntu用户尽快将他们的安装更新到新的内核版本(linux-image 5.19.0-35.36用于运行Linux内核5.10和Ubuntu 22.04 LTS系统。19,linux-image 5.15.0.67.65用于运行Linux内核5.15 LTS的Ubuntu 22.04 LTS系统,linux-image 5.15.0.67.74~20.04.28用于运行Linux内核5.15 LTS的Ubuntu 20.04 LTS系统)。
要更新你的Ubuntu安装,在终端应用中运行sudo apt update && sudo apt full-upgrade命令,或者使用软件更新工具。不要忘记在安装新的内核版本后重新启动你的系统,以及重建和重新安装你可能已经安装的任何第三方内核模块。
转自 Latest Ubuntu Linux Kernel Security Updates Patch 17 Vulnerabilities – 9to5Linux